WO 2005/006645 PCT/FR2004/001743 

1 

Precede de chiffrement/dechiffrement d'un message et dispositif associe. 
La presente invention concerne un precede de securisation et 
d'identification de messages sur un reseau, ainsi qu'un dispositif securise 
correspondant. 

Un reseau est constitue d'un ensemble de dispositifs 6metteur/ 
recepteur adaptes a echanger des messages par exemple par un bus numerique, 
par radiodiffusion ou par i'intermediaire du reseau internet. 

Pour securiser la circulation de messages transmis sur le reseau entre 
un dispositif emetteur/recepteur securise, couramment appele autorite de 
certification, et un dispositif emetteur/recepteur client, il est connu de chiffrer les 
messages a I'aide de cles de chiffrement. 

En general, le dispositif emetteur des messages dispose d'une cle de 
chiffrement et le dispositif recepteur d'une cle de dechiffrement correspondante. 

Le chiffrement des messages a deux types principaux d'applications : 

- la securisation d'un message qui consiste en une substitution a un 
texte clair, d'un texte inintelligible et inexpioitable, 

- 1'identification d'un message qui consiste a garantir I'origine et 
I'integrite d'un message transitant sur le reseau par utilisation d'une signature 
numerique. 

Dans ces deux types d'applications, il convient de minimiser les 
risques d'interception et de dechiffrement frauduleux des messages par un tiers, 
ou de falsification par I'apposition frauduleuse d'une signature. 

Differents precedes de cryptographie ont done ete proposes pour 
eviter les chiffrements ou dechiffrements non autorises. 

Par exemple, des precedes de cryptographie dits symetriques ont ete 
proposes. Dans ces precedes, la meme cle, appelee cle secrete est utilisee pour 
le chiffrement et le dechiffrement d'un message. Cependant, ces precedes sont 
faiblement securises car lorsque la cle secrete est decouverte, I'ensemble des 
dispositifs emetteur/recepteur du reseau est corrompu. 

Une amelioration a de tels precedes consiste a utiliser des techniques 
dites de derivation de cles symetriques. La figure 1 illustre un exemple 
d'utilisation de cette technique. Elle represente schematiquement ('architecture 
d'une autorite de certification 100 et d'un appareil client 102 donne d'un reseau 
d'appareils aptes a communiquer avec cette autorite de certification. 
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Selon ia technique de derivation de cles symetriques, chaque appareil 
client 102 possede sa propre cle de chiffrement/dechiffrement KD i( differente des 
cles des autres appareils du reseau. Cette cle est calculee ou derivee a partir 
d'un identifiant CID| stocke dans chaque appareil client 102 et d'une cle dite 
maTtresse MK connue de I'autorite de certification 100 uniquement. Cette cle 
derivee est utilisee a la fois pour chiffrer et dechiffrer un message. 

La cle derivee KDj est generee au depart par I'autorite de certification 
puis memorisee dans chaque appareil client de maniere securisee. Ensuite, 
avant chaque echange de message m avec un appareil client donnee, I'autorite 
de certification 100 demande a I'appareil client 102 son identifiant CIDi puis 
recalcule la cle derivee KDi du dispositif client concerne par application d'une 
fonction de derivation a I'identifiant CIDi et a la cle maTtresse MK. Puis, l'autorit6 
de certification chiffre (notation « E ») ou dechiffre (notation « D ») le message a 
I'aide de la cl6 derivee calculee. La notation E {KDj} (m) correspond au 
chiffrement du message m a I'aide de la cle KDj. 

Un exemple de techniques dites de derivation de cles symetriques 
utilisees pour I'identification d'un message est decrit dans le document WO 
02/19613. 

Cette technique est plus securisee qu'un procede symetrique 
classique car lorsqu'une cle derivee d'un appareil client donne est piratee, 
I'ensemble des appareils clients du reseau n'est pas corrompu car le pirate ne 
peut pas calculer les cles derives des autres appareils. Toutefois, cette technique 
est couteuse car elle necessite la securisation de I'ensemble des appareils 
clients. 

Par ailleurs, des precedes de cryptographie asymetrique ont ete 
proposes. Ces procedes se caracterisent par I'emploi d'un couple de cles de 
chiffrement et de dechiffrement non identiques appelees cle publique/cle privee. 

La figure 2 illustre un exemple d'utilisation d'un procede asymetrique 
dans lequel un appareil client 202, 203 est apte a transmettre un message chiffre 
a une autorite de certification 200. 

Selon ce procede asymetrique, chaque appareil client 202, 203 du 
reseau d'appareils clients comporte une cle publique PubCj, PubCj qui lui est 
propre et qu'il utilise pour chiffrer un message m a transmettre. L'autorite de 
certification 200 stocke dans une base de donnees toutes les cles privees 
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correspondant aux cles publiques des appareils clients. Les cles privees sont 
dans I'exemple de la figure 2 m§moris6es par I'autorite de certification 200 avec 
les identifiants de chaque appareil client. LorsqiTun appareil client 203 veut 
transmettre un message m chiffre a I'autorite de certification 200, il transmet, en 
plus du message m chiffr6 avec sa cle publique E {Pubd} (m), son identifiant 
CIDi de sorte que I'autorite de certification puisse retrouver la cl§ privee 
correspondante PrivCf. Le message m est alors dechiffre a I'aide de la cle privee 
PrivQ. 

Avantageusement, de tels proced6s asymetriques ne n6cessitent pas la 
s6curisation des appareils clients. En effet, le piratage d'un appareil client et done 
la decouverte de sa cI6 publique de chiffrement n'autorise pas le dechiffrement 
du message envoye. Seule la cl6 privee correspondant specifiquement a cette 
cle publique de chiffrement permet le dechiffrement du message. 

Cependant, le principal inconvenient de ce type de proc6de asymetrique 
reside dans la necessity pour I'autorite de certification de gerer une base de 
donnees dans laquelle sont stockees Tensemble des cl6s privies de tous les 
appareils clients du reseau. Cette base de donnees necessite une m6moire de 
stockage importante. De plus, la recherche d'une cl6 privee dans cette base de 
donnees implique des temps de transfert de message assez long qui 
handicapent les echanges. 

En variante, des procedes asym6triques ont ete proposes, dans 
lesquels, un unique couple de cles priv6e/publique chiffre I'ensemble des 
messages. Les appareils clients du reseau contiennent done tous la meme cle 
publique et Tautorite de certification stocke une unique cle privee. Toutefois, ces 
procedes ne sont pas suffisamment s£curitaires car le piratage de la cle privee 
corrornpt I'ensemble du reseau des appareils clients. 

Le but de la presente invention est de fournir un procede de 
chiffrement/d^chiffrement alternatif qui presente un niveau de securite eleve sans 
necessiter le stockage et la gestion d'une base de donnees de cles 
asymetriques. 

A cet effet, la pr6sente invention a pour objet un procede de 
chiffrement/dechiffrement d'un message a echanger entre un emetteur et un 
recepteur par Tintermediaire d'un reseau de communication, I'emetteur et le 
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recepteur etant I'un et I'autre d'un dispositif securise et d'un dispositif client defini 
dans un reseau de dispositifs clients, le procede comprenant les etapes de : 

- realisation d'operations de cryptographie asymetrique par le dispositif 
securise et par le dispositif client defini respectivement a I'aide d'une cle privee et 
d'une cle publique, la cle privee etant differente de la cle publique, et 

- envoi d'au moins une donnee publique du dispositif client defini vers 
le dispositif securise, 

caracterise en ce que le procede comporte en outre, lors de chaque 
emission/reception d'un message chiffre par le dispositif securise, une etape de 
determination de la cle privee correspondant a la cle publique du dispositif client 
defini, a partir d'une cle maitresse secrete stockee dans le dispositif securise, et 
de la ou de chaque donnee publique envoyee par le dispositif client defini. 

Avantageusement, ce procede utilise les techniques de derivation de 
cles sym6triques associees au procede de cryptographie asymetrique. Ainsi, les 
techniques de derivation ne seront pas utilisees pour generer une cle derivee 
secrete mais pour generer une cle privee d'un couple de cles privee/publique. 

Un autre objet de I'invention consiste en un dispositif securise apte a 
echanger des messages avec un dispositif client defini d'un reseau de dispositifs 
clients, sur un reseau de communication, le dispositif securise etant apte a 
recevoir au moins une donnee publique propre audit dispositif client defini et 
envoyee par celui-ci prealablement a tout echange de messages, le dispositif 
securise comprenant des moyens de realisation d'operations de cryptographie 
asymetrique a I'aide d'une cle privee correspondant a une cle publique stockee 
dans le dispositif client defini caract6rise en ce qu'il comprend, en outre des 
moyens de stockage securises d'une cle maitresse, et des moyens de 
determination de ladite cle privee a partir de la cle maitresse et de la ou de 
chaque donnee publique envoyee. 

L'invention sera mieux comprise et illustree au moyen d'un exemple de 
realisation et de mise en ceuvre, nullement limitatif, en reference aux figures 
annexees sur lesquelles : 

- la figure 1 est une vue schematique de ('architecture d'une autorite 
de certification et d'un appareil recepteur aptes a echanger des messages 
chiffres selon un procede de derivation de cles symetriques connu, 
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- la figure 2 est une vue sch6matique de ['architecture d'une autorite 
de certification et d'un appareil emetteur aptes & 6changer des messages chiffres 
selon un proced§ de chiffrement asymetrique connu, 

- la figure 3 est une vue schematique de I'architecture d'un dispositif 
securise selon un exemple de realisation de Pinvention pour la generation d'un 
couple de cles privee/publique lors d'une phase d'initialisation des appareils du 
reseau , 

- la figure 4 est un diagramme recapitulatif des differentes etapes du 
procede de chiffrement/dechiffrement lors de la phase d'initialisation, selon 
I'exemple de realisation de 1'invention, 

- la figure 5 est une vue sch6matique de I'architecture d'un dispositif 
securise et d'un dispositif client pour la securisation d'un message selon 
I'exemple de realisation de 1'invention, et 

- la figure 6 est un diagramme recapitulatif des differentes etapes du 
procede de chiffrement/d6chiffrement pour la securisation d'un message selon 
I'exemple de realisation de I'invention, 

- la figure 7 est une vue sch6matique de I'architecture d'un dispositif 
s6curise et d'un dispositif client pour I'identification d'un message, selon un 
exemple de realisation de I'invention, et 

- la figure 8 est un diagramme recapitulatif des etapes du proc6d6 de 
chiffrement/dechiffrement pour I'identification d'un message selon I'exemple de 
realisation de I'invention. 

La figure 3 represente schematiquement I'architecture d'un dispositif 
securise 1 et d'un dispositif client C|. 

Le dispositif securise 1 comprend un generateur de nombres 
aleatoires 2, une msmoire 3 de stockage d'une cle maTtresse, un module de 
calcul 4 d'une partie d| de la cle privee et un module de calcul 5 d'une cie 
publique PubCi. 

Le g6n6rateur 2 de nombres aleatoires est apte & generer d'une part 
un nombre susceptible de constituer la cie dite maTtresse MK et d'autre part, une 
pluralite de nombres CIDj aptes a identifier les dispositifs clients du reseau. 

Preferentiellement, la cie dite maTtresse MK a une longueur de 128 
bits et les identifiants CID if CIDj des dispositifs clients Q, Cj ont une longueur de 
64 bits. 
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Par ailleurs, le generateur 2 est egalement apte a generer au hasard 
deux grands nombres premiers impairs, distincts p et q de 512 bits utilises pour le 
calcul de la cle publique par le module de calcul 5. 

La m6moire 3 du dispositif securis6 est non volatile de type « ROM » 
ou « EEPROM » ou equivalent. Elle est apte a stocker la cle maitresse MK 
generee par le generateur 2. Comme la cle maitresse est une cl6 secrete connue 
uniquement par le dispositif securise, la memoire 3 de stockage de cette cle est 
avantageusement hautement securis^e afin de garantir la securite des messages 
echang§s. 

Le module de calcul 4 est apte a determiner une partie d'une cle 
privee d'un couple de cles privee/publique. Generalement, une cle privee PrivQ 
est une cl6 mixte constitute de deux parties. La premiere partie est formee par 
une partie de la cle publique appelee modulus m dans tout algorithme 
asymetrique. La deuxieme partie est couramment appel6e exposant secret di 
dans les algorithmes asymetriques de type RSA : PrivCj = (n l( dj). Le module de 
calcul 4 est apte a calculer la deuxieme partie dide la cle privee PrivCj. a partir de 
I'identifiant CIDj du dispositif client Ci et de la cle maitresse MK. 

Le module de calcul 4 comporte preferentiellement une unite de calcul 
6 apte a effectuer une fonction de modification de la longueur d'un identifiant CID| 
en une extension de I'identifiant notee ECID|. Une fonction d'extension connue 
appelee MGF peut par exemple etre utilisee. Cette fonction permet d'etendre un 
nombre de 64 bits en un nombre de 1024 bits. Cette fonction est notamment 
decrite dans le document de RSA Laboratories « PKCS #1v2.1 : RSA 
Cryptography Standard - June 14, 2002 » disponible a I'adresse Internet 
suivante : ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-1/pkcs-1v2-1 .pdf 

Le module de calcul 4 comprend une unite de chiffrement 7 de 
I'extension de I'identifiant ECID, a partir de la cle maitresse MK. Cette unite met 
en ceuvre un algorithme de derivation symetrique. De fa?on preferentielle, il s'agit 
de I'algorithme couramment appele AES « Advanced Encryption Standard » 
utilise en mode CBC. Cet algorithme est decrit dans le document FIPS 197, 26 
Novembre, 2001 disponible sur Internet a I'adresse: 
http : //csrc.nist.gov/publications/fips/fips197/fips-1 97.pdf. 

Avantageusement, le module de calcul 4 comprend egalement une 
unite de selection 8 de I'exposant secret di en fonction du resultat ou chiffre EClDi 



WO 2005/006645 PCT7FR2004/001743 

7 

de I'extension de I'identifiant. Pour selectionner cet exposant secret d,, I'unite de 
selection 8 utilise une fonction deterministe. Par exemple, cette unite est propre a 
selectionner une donnee telle que cette donnee remplisse les criteres ci- 
dessous : 

- cette donnee d, doit etre inferieure au resultat EClDj du chiffrement 
de I'extension de I'identifiant, 

- cette donnee dj doit etre un nombre le plus proche du resultat ECID, 
du chiffrement de ('extension de I'identifiant, premier avec une liste de nombres 
premiers : 2, 3, 5, 7, 11, 13. Eventuellement, cette derniere condition peut etre 
etendue a une liste de nombres premiers plus longue. 

Schematiquement, le module de determination 5 peut etre decompose 
en deux unites de calculs. Chaque unite etant apte a calculer un element de la 
cle publique : PubQ = (ni, ei). 

La premiere unite de calcul 9 est apte a s6lectionner deux grands 
nombres premiers p, et q, generes par le generateur de nombres aleatoires 2 de 
telle maniere que (p, -1) x ( q, -1) est premier avec I'exposant secret d f . En 
pratique, on genere d'abord un nombre p, tel que (p,-1) soit premier avec di puis 
un nombre q, tel que (q r l) soit premier avec d ( . 

Par ailleurs, cette unite de calcul 9 est apte a calculer la premiere 
partie de la cle privee appelee modulus n» tel que n, = p, x q, Le modulus n, 
constitue egalement un element de la cle privee PrivCp (m, d|). 

La seconde unite de calcul 10 utilise un algorithme d'Euclide etendu 
pour calculer I'autre element de la cle publique e, a partir des donnees secretes 
Pi, qi et df. Cet algorithme d'Euclide etendu est notamment decrit dans I'ouvrage 
« Handbook of Applied Cryptography » de A. Menezes, P. van Oorschot et S. 
Vanstone, CRC Press, 1996, a la page 67. Cet ouvrage peut §tre consulte a 
I'adresse Internet suivante : http://www.cacr.math.uwaterloo.ca/hac/ 

Plus precisement, on calcule la donnee e, telle que : 

ejXdi = 1 mod (p r 1) x (q r 1). 

Les dispositifs clients C, du reseau comportent une memoire 11 de 
stockage d'un identifiant CID, et d'une cle publique PubC, = (n,, e,) ainsi qu'un 
module de chiffrement asymetrique ou de verification de signature. 
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Classiquement, le dispositif securise 1 et les dispositifs clients C|, Cj de 
son reseau de communication sont personnalises ou initialises pour pouvoir 
echanger des messages chiffres. 

Les etapes de principe d'un precede de personnalisation d'un dispositif 
securise et des dispositifs clients selon I'invention vont maintenant etre decrites. 

Le procede de personnalisation selon I'invention, comprend une 
premiere etape de generation d'une cle maTtresse unique MK destinee au 
dispositif securise 1 et d'une pluralite d'identifiants CIDj, CIDj destines a 
caracteriser ou personnaliser les dispositifs clients Cj, Cj du reseau. 

Ce procede comprend une deuxieme 6tape de calcul d'un couple de 
cles privee/publique associe a chaque dispositif client. Specifiquement, la cle 
privee est obtenue par chiffrement de I'identifiant CIDi de chaque dispositif client 
C| a I'aide de la cle maTtresse MK du dispositif securise : PrivCj = f {MK} (CID t ). La 
cle publique PubQ correspondante est calculee a partir de la cle privee 
notamment par application d'une fonction mathematique utilisant par exemple, un 
algorithme d'Euclide etendu : PubCi = F (Privd). 

Selon une troisieme etape du procede de personnalisation du dispositif 
securis6 et des dispositifs clients du reseau, les identifiants CIDj, CIDj generes et 
les cles publiques PubCi,, Pubq calculees a partir de ceux-ci sont envoyes a 
chaque dispositif client Cj, Cj du reseau ou sont inseres dans les dispositifs 
clients lors de leur fabrication. 

Enfin, les cles privees correspondantes PrivCj, PrivCj, ainsi que 
I'ensemble des donnees intermediaires ayant permis de calculer les couples de 
cles privee/publique sont detruites. Ainsi, le dispositif securise ne stocke aucune 
donnee associee a Tun quelconque de ces dispositifs clients. 

Les etapes d'un exemple de realisation du procede de 
personnalisation vont a present etre decrites en liaison avec la figure 4. 

Pendant une etape 41 de la phase de personnalisation des dispositifs 
du reseau, le generateur 2 genere un nombre aleatoire de 128 bits qui constitue 
la cle maTtresse MK et un nombre de 64 bits apte a devenir I'identifiant CIDj d'un 
dispositif client C t a personnaliser. 

Lors d'une etape 42, la cle maTtresse MK ainsi generee est stockee 
dans la memoire 3 du dispositif securise 1 . Cette cle maTtresse MK servira de 
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base pour le calcul de I'ensemble des couples de cles privee/publique associes a 
tous les dispositifs clients du reseau. 

Lors d'une etape 43, I'unite de calcul 6 etend I'identifiant CID, d'un 
dispositif client C, par un algorithme d'extension pour generer un nombre de 128 
bits formant I'extension de I'identifiant EClDj . 

L'extension de I'identifiant EClDi est ensuite chiffree a I'etape 44 a 
i'aide de ia cie mattresse MK. Ce chiffrement est realise par I'unite de calcul 7 par 
application d'un algorithme symetrique de type AES. 

Puis, lors d'une etape 45, I'unite de selection 8 selectionne un nombre 
formant Pexposant secret dj. 

Au cours des etapes 46 et 47, le module de calcul 5 selectionne deux 
grands nombres premiers pi et q, et calcule la cle publique PubCi= (m, e) a partir 
de ces nombres et de I'exposant secret dj. 

Une fois la cle publique PubCi = (n u e,) d'un dispositif client donnee Q 
calculee, le dispositif securise 1 la lui envoie de facon sQre et non detaillee ici 
accompagne de I'identifiant CID, a I'origine du calcul de cette cle publique a 
I'etape 48. 

L'identifiant CID, et la cle publique PubQ sont enregistres dans la 
memoire 1 1 du dispositif client Q. 

Avantageusement, selon I'invention, la memoire 11 des dispositifs 
clients n'a pas besoin d'etre securisee contre la lecture car la decouverte de la 
cle publique PubC, et de I'identifiant CID, ne permet en aucune fagon le calcul de 
la cle privee correspondante PrivCi ou le calcul d'une autre cle privee ou publique 
du reseau, de sorte que la securite du message chiffre transmis et du reseau de 
dispositifs recepteur /emetteur est preservee. 

En outre, I'identifiant CIDj ainsi que I'ensemble des donnees calculees 
a partir de celui-ci et notamment les donnees secretes p, et q ( , I'exposant secret 
di, I'exposant public ei, le modulus n if et I'extension de I'identifiant EClDj ne sont 
pas conserves dans la memoire 3 du dispositif securise 1 et sont detruits a 
I'etape 49. 

En consequence, le piratage de la cle mattresse MK ne permet pas le 
calcul des cles privee/publique associees a un dispositif client donne sans la 
connaissance de son identifiant. 
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Le procede de personnalisation a pour finalite de configurer le 
dispositif securis6 et les dispositifs clients de maniere a permettre I'echange des 
messages chiffres en vue de leur securisation ou de leur identification. 

Un exemple d'utilisation des dispositifs emetteur/recepteur selon 
I'invention en reference aux figures 5 et 6 va etre decrit a present. 

En particulier, la figure 5 represente I'architecture d'un dispositif client 
donne Cj apte a envoyer un message chiffre E {Pub Cj} (m) ainsi que 
I'architecture d'un dispositif securise 1 apte a dechiffrer ce message. 

Classiquement, le dispositif client Cj comporte une memoire 1 1 non 
volatile et un module de chiffrement 12. 

La memoire 1 1 du dispositif client Cj comporte un identifiant CIDj et 
une cle publique PubCj composee d'un modulus nj, et d'une donnee publique ej. 

Le dispositif securise 1 comprend une memoire 3 dans laquelle la cle 
maftresse MK est stockee, un module de calcul 4 de I'exposant secret dj et un 
module de dechiffrement 13. 

Selon I'invention, le module de chiffrement 12 et le module de 
dechiffrement 13 utilisent des precedes de cryptographie asymetrique mettant en 
ceuvre des algorithmes tels que par exemple I'algorithme intitule RSAES-OAEP. 
Une description de cet algorithme peut etre trouvee dans le document « PKCS 
#1v2.1 : #RSA Crytography Standard » qui a deja ete mentionne precedemment. 

Le module de calcul 4 de I'exposant secret dj comprend les memes 
unites de calcul que le module de calcul 4 utilise lors de la phase de 
personnalisation des dispositifs clients. En consequence, il calcule I'exposant 
secret dj a partir de I'identifiant CIDj du dispositif client Q et de la cle maTtresse 
MK de la meme maniere que lors de la phase de personnalisation de sorte que 
cet exposant secret d ( corresponde toujours a la cle publique PubCi de 
chiffrement stockee dans la memoire 1 1 du dispositif client Ci. 

Le procede de chiffrement/dechiffrement pour securiser un message 
va etre decrit de maniere d6taillee en liaison avec la figure 6. 

Ce procede comprend une etape 61 de chiffrement du message a 
transmettre. Ce chiffrement est realise par le module de chiffrement 12 du 
dispositif client Cj a I'aide de la cle publique PubCj= (nj, ej). 

E {Pub Cj} (m) = RSAES-OAEP Encrypt {(n jf ej)} (m) 
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Puis, lors cTune 6tape 62, Tidentifiant CIDj et le modulus rijdu dispositif 
client Cj ainsi que le message chiffr6 E {Pub Cj } (m) sont envoyes au dispositif 
s6curis6 1. 

Enfin, les unites de calcul 6, 7 et de selection 8 du module de calcul 4 
de Texposant secret dj du dispositif securise 1 realisent une etape de calcul 63 de 
Textension de Tidentifiant EClDj a partir de Tidentifiant CIDj envoye par le dispositif 
ciient Cj, une etape de chiffrement 64 de Textension de Tidentifiant EClDj a Taide 
de la cle maftresse MK et une etape de selection 65 de Texposant secret dj & 
partir du resultat EClDj du chiffrement de Textension de Tidentifiant. II est 
n6cessaire que Tunite de selection 8 utilise les memes regies de selection que 
celles appliquees lors de la phase de personnalisation des dispositifs clients. 

Finalement, le module de dechiffrement asymetrique 13 du dispositif 
s6curis6 1 realise une etape 66 de dechiffrement du message & Taide de la cie 
privee mixte compos6e de Texposant secret calcul6 dj et du modulus nj envoye 
par le dispositif client Cj : 

m = RSAES - OAEP - Decrypt {(d j( n,)} (E {Pub Cj} (m)) 

Avantageusement le dispositif s6curise 1 ne conserve aucune donnee 
liee au dispositif client Cj emetteur d'un message. Sp6cifiquement, son identifiant 
CIDj, Textension EClDj de son identifiant, son exposant secret dj et son modulus 
nj sont detruits lors de Tetape 67. 

Le precede de chiffrement/d6chiffrement de Tinvention permet 
egalement d'identifier un message par apposition d'une signature par le dispositif 
securis6 1 et verification de cette signature par un dispositif client Cj & qui est 
destine le message signe. 

Le precede de chiffrement/d^chiffrement de Tinvention utilise pour 
identifier Torigine d f un message va etre d^crit en liaison avec les figures 7 et 8. 

La figure 7 represente schematiquement Tarchitecture d*un dispositif 
securis§ 1 et d'un dispositif client Cj . 

Le systeme compose d'un dispositif securis§ et d'un dispositif client 
est similaire au systeme d6crit en liaison avec la figure 5. En consequence, les 
Elements communs aux figures 5 et 7 reprennent les memes references et ne 
seront pas a nouveau decrits. 

En fait, le systeme dispositif securise/dispositif client comporte les 
memes modules 4 et m6moires 3, 11 hormis le module de dechiffrement 13 du 
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dispositif s6curise et le module de chiffrement 12 du dispositif client qui sont 
remplaces respectivement par un module de generation de signature 14 et par un 
module de verification 1 5 de signature. 

Le procede de chiffrement/dechiffrement utilise pour la signature d'un 
message comprend une etape 81 au cours de laquelle le dispositif securise 1 
demande I'identifiant CIDj et le modulus nj au dispositif client Cj a qui il souhaite 
envoyer un message m sign6. 

Au cours des etapes 82, 83, et 84, le module de calcul 4 du dispositif 
securise 1 recalcule I'exposant secret dj du dispositif client Cj a partir de 
I'identifiant envoye CIDj et de la cle maltresse MK de la meme maniere que dans 
le procede de chiffrement/dechiffrement utilise pour la securisation ou la 
personnalisation d'un message et decrit precedemment. 

Puis, lors d'une etape 85, le module de signature 14 du dispositif 
securise 1 signe son message a I'aide de I'exposant secret dj calcule et du 
modulus nj envoye par le dispositif client Cj : S{PrivCj}(m) avec PrivCj = (d jf nj). 

Enfin, le dispositif de securisation 1 envoie au cours d'une etape 86, 
un message m ainsi que sa signature S {(dj, nj)} (m) au dispositif client defini Cj. 

Lors d'une etape 87, le module de verification 15 du dispositif client Cj 
verifie la signature du message a I'aide de la cle publique PubCj = (nj, ej) stockee 
dans sa memoire 1 1 et correspondant a la cle privee PrivCj = (dj, nj) en effectuant 
I'operation : 

V{PubCj} (S {PrivCj} (m)) = 0 ou 1 

Lors d'une etape 88, I'identifiant CiDj du dispositif client defini Cj et les 
donnees intermediaires CIDj, EClDj, dj et nj ayant permis de determiner la cle 
privee sont detruits par le dispositif securise. 

Pour les operations de signature S et de verification de signature V, on 
pourra notamment utiliser I'algorithme RSASSA-PSS qui est decrit dans le 
document « PKCS#1v2.1 :RSA Cryptography Standard » mentionne plus haut. 
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REVINDICATIONS 



1. Procede de chiffrement/dechiffrement d'un message a echanger 
entre un emetteur et un recepteur par I'intermediaire d'un reseau de 
communication, I'emetteur et le recepteur etant I'un et I'autre d'un dispositif 
securise (1) et d'un dispositif client defini (C,) dans un r6seau de dispositifs clients 
(Ci, Cj), ie procede comprenant les etapes de : 

- realisation d'operations de cryptographie asymetrique par le dispositif 
securise (1) et par le dispositif client defini (C,) respectivement a I'aide d'une cle 
privee (n,, dj) et d'une cle publique (n,, e,), la cle privee etant differente de la cle 
publique, et 

- envoi (62, 81) d'au moins une donnee publique (n if CIDj) du dispositif 
client defini (Cj) vers le dispositif securise (1), 

caracterise en ce qu'il comporte en outre, lors de chaque 
emission/reception d'un message chiffre par le dispositif securise, une etape de 
determination de la cle privee (n it d,) correspondant a la cle publique (m, eO du 
dispositif client defini (C,), a partir d'une cle maTtresse secrete (MK) stockee dans 
le dispositif securise, et de la ou de chaque donnee publique (n,, CID,) envoyee 
par le dispositif client defini (CO . 

2. Procede de chiffrement/dechiffrement d'un message selon la 
revendication 1, caracterise en ce que I'etape d'envoi (62, 81) de la ou de chaque 
donnee publique comprend une etape d'envoi d'une partie (m) de la cle publique, 
cette partie de la cle publique formant une premiere partie de la cle privee. 

3. Procede de chiffrement/dechiffrement d'un message selon I'une 
quelconque des revendications 1 et 2, caracterise en ce que I'etape d'envoi (62, 
81) de la ou de chaque donnee publique comprend une etape d'envoi d'un 
identifiant (CID,) du dispositif client (C,), et I'etape de determination de la cle 
privee comprend une etape de calcul d'une seconde partie (d,) de la cle privee a 
partir dudit identifiant envoye. 

4. Procede de chiffrement/dechiffrement d'un message selon la 
revendication 3, caracterise en ce que I'etape de determination de la cle privee 
(n,, d,) correspondant a la cle publique (n,, e,) du dispositif client, comprend une 
etape de chiffrement (44, 64, 83) du resultat (ECID,) d'une fonction appliquee a 
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I'identifiant (CID,) du dispositif client defini (Q, par un algorithme symetrique, a 
I'aide de la cle mattresse secrete (MK). 

5. Procede de chiffrement/dechiffrement d'un message selon la 
revendication 4, caracterise en ce que I'etape de determination de la cle privee 
(n,, d,) correspondant a la cle publique (n,, e,) du dispositif client, comporte une 
6tape de selection (45, 65, 84) de la seconde partie (d,) de la cle privee, par une 
unite de caicui deierministe (8), a partir du resultat dudit chiffrement du resultat 
(EClDj) d'une fonction appliquee a I'identifiant (CIDi) du dispositif client defini (C,). 

6. Procede de chiffrement/dechiffrement d'un message selon la 
revendication 5, caracterise en ce que I'etape de selection de la seconde partie 
(d,) de la cle privee, par I'algorithme deterministe, est realisee par une selection 
d'un nombre tel que : 

- ce nombre soit inferieur au resultat dudit chiffrement du resultat 
(EClDj) d'une fonction appliquee a I'identifiant (CID,) du dispositif client d6fini (CO, 

- ce nombre soit le plus proche du resultat dudit chiffrement du resultat 
(EClDj) d'une fonction appliquee a I'identifiant (CID,) du dispositif client defini (C,), 
et soit premier avec une liste de nombres premiers. 

7. Procede de chiffrement/dechiffrement d'un message selon I'une 
quelconque des revendications 3 a 6, caracterise en ce qu'il comprend une etape 
de destruction (49, 67, 87) de I'identifiant (CID,) du dispositif client defini (C,) et de 
toutes les donnees (p,, q,, d| , ECID,, e,, n,) calculees a partir de I'identifiant pour 
d6terminer la cle privee. 

8. Procede de chiffrement/dechiffrement d'un message selon I'une 
quelconque des revendications precedentes, caracterise en ce que les 
operations de cryptographie comprennent une operation d'identification d'un 
message comprenant les etapes suivantes : 

- signature du message (85), par le dispositif securise (1), a I'aide de la 
cle privee (n,, d,) determin6e pendant I'etape de determination de la cle privee, 

- transmission de la signature du message et du message (86) au 
dispositif client pour verification de cette signature, et 

- verification de la signature (87) du message, par le dispositif client, a 
I'aide de ladite cle publique (n,, e,). 

9. Procede de chiffrement/dechiffrement d'un message selon I'une 
quelconque des revendications precedentes, caracterise en ce que les 
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operations de cryptographie comprennent une operation de s6curisation d'un 
message comprenant les 6tapes suivantes : 

- chiffrement (61) d'un message (m), par le dispositif client (CO, & I'aide 
de la cle publique (n\, e\) , 

- transmission (62) du message chiffrS au dispositif s6curis6 (1), et 

- dechiffrement (66) du message chiffre par le dispositif securise (1), a 
raide de la cle privee (ni, dj) determin§e pendant I'etape de determination d'une 
cl6 priv6e. 

10. Proc§d6 de chiffrement/d§chiffrement d'un message selon Tune 
quelconque des revendications 3 a 9, caracteris6 en ce qu'il comporte une phase 
prealable de person nalisation dudit dispositif client defini (Cj), qui comprend les 
etapes suivantes : 

- generation, par le dispositif s§curise (1), d'une cl§ maTtresse secrete 
(MK) unique et d'un identifiant (CIDj) propre audit dispositif client defini (Cj) et 
apte a Identifier, 

- calcul de ladite cle publique (ni, eO du dispositif client d§fini (Cj) par 
un module de calcul (5) a partir de la seconde partie (dj) de la cl6 privee. 

11. Proc6de de chiffrement/dechiffrement d'un message selon la 
revendication 10, dans lequel la phase de personnalisation comporte en outre les 
etapes suivantes : 

- selection (46) de deux donn6es secretes constitutes de deux grands 
nombres premiers pi, qi v tels que (pr1) x (qr1) soit premier avec la seconde partie 
(d|) de la cle privee du dispositif client defini (d), et 

- calcul (48) d'un modulus ni du dispositif client defini (Cj) tel que : 
ni = pi x qi, et 

- calcul (48) d'une partie (ej) de la cl6 publique par un algorithme 
d'Euclide etendu a partir de la ou de chaque donnee secrete p if qj et du modulus 
^ du dispositif client defini (Cj). 

12. Dispositif securis§ (1) apte & 6changer un message avec un 
dispositif client defini (C|) d'un r6seau de dispositifs clients (Cj, Cj), sur un r6seau 
de communication, le dispositif s§curis6 etant apte & recevoir au moins une 
donnee publique (CIDi, nj) propre audit dispositif client d6fini (Cj) et envoyee par 
celui-ci prealablement a tout ^change de messages, le dispositif securise (1) 
comprenant : 
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- des moyens de realisation d'op6rations de cryptographie asymetrique 
a I'aide d'une cle privee (m, d|) correspondant a une cle publique (ni, ei) stockee 
dans le dispositif client defini (Ci) 

caracterise en ce qu'il comprend, en outre : 

- des moyens de stockage (3) securises d'une cle maTtresse (MK), 

- des moyens (4) de determination de ladite cle privee (dj, m) a partir 
de la cle maTtresse (MK) et de !a ou de chaque donnee publique (CID|, n.) 
envoy6e. 

13. Dispositif securis6 selon la revendication 12, caracterise en ce que 
la donnee publique (CIDj, nO comprend une partie (ni) de la cle publique dudit 
dispositif client defini (CO et/ou un identifiant (CIDi) du dispositif client defini. 

14. Dispositif securise selon la revendication 13, caracterise en ce que 
la cle privee est une cle mixte comprenant une premiere partie (ni) correspondant 
a une partie de la cle publique (m, ei) dudit dispositif client (Q) defini et une 
deuxieme partie secrete (dj) calculee a partir de la cle maTtresse (MK) et de 
I'identifiant (CIDj) du dispositif client defini. 

15. Dispositif securise selon Tune quelconque des revendications 12 a 

14, caracterise en ce que les moyens de realisation d'operations de 
cryptographie asymetrique a I'aide de la cle privee (d tl m) determinee 
comprennent : 

- des moyens de signature (S) d'un message (m), et 

- des moyens de chiffrement (E) d'un message (m). 

16. Dispositif securis6 selon Tune quelconque des revendications 14 a 

15, dans lequel les moyens de determination (4) de la cle privee comprennent en 
outre : 

- une unite de chiffrement (7) symetrique, a I'aide de la cle maTtresse 
(MK), apte a chiffrer le resultat (ECID,) d'une fonction appliquee a I'identifiant 
(CIDi) du dispositif client defini (Q), et/ou 

- une unite de calcul (8) d'un algorithme deterministe de selection de la 
deuxieme partie secrete (dj) de la cle privee a partir du resultat du chiffrement 
realise par I'unite (7) de chiffrement symetrique. 

17. Dispositif securise selon I'une quelconque des revendications 14 a 

16, caracterise en ce qu'il comprend outre un moyen d'initialisation des dispositifs 
clients du reseau, ledit moyen d'initialisation comprenant : 
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- un moyen de gyration (2) aleatoire d'une cle maTtresse unique 
(MK) et d'une pluralite d'identifiants (CID,, CID,) distincts les uns des autres, 
chaque identifiant etant propre a caracteriser un unique dispositif client (Ci) du 
reseau de dispositif client, 

- une unite de calcul (9) apte a selectionner deux donnees secretes (p i( 
qi) en fonction de la valeur de la deuxieme partie secrete (d,) de la cle privee et a 
calculer une premiere partie (n.) de ia cie pubiique, et 

- une unite de calcul (10) de la seconde partie (ei) de la cle pubiique, 
par un algorithme d'Euclide Etendue, a partir des donnees secretes (pi, qi), de la 
deuxieme partie (dj) de la cl6 privee et de la premiere partie (nfl de la cle 
pubiique. 

18. Programme d'ordinateur comportant des instructions pour 
I'execution des etapes de procede de chiffrement/dechiffrement d'un message 
selon Tune quelconque des revendications 1 a 11, lorsque le programme est 
execute sur un dispositif securise realise a partir d'un calculateur programmable. 

19. Support d'enregistrement utilisable sur un dispositif securise 
realise a partir d'un calculateur programmable sur lequel est enregistre le 
programme selon la revendication 18. 
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